Защитна стена, рутер и NAT

рутер

Защита на вашия компютър, настройка на рутер и NAT

Нека поговорим за тема, която според мен ще представлява интерес за много начинаещи потребители на Linux.

Какво представляват netfilter и iptables?
Netfilter е защитна стена (защитна стена), вградена в ядрото на Linux 2.4 и 2.6. Той изпълнява следните функции:

  • Филтриране на трафика
  • NAT
Грубо казано, netfilter е вградена защитна стена в ядрото на Linux.

iptables - помощна програма за управление на същия този netfilter.

iptables (от IP таблицата) управлява таблици и вериги, които съдържат дефинирани от нас правила, които ще бъдат обработени всеки пакет данни. Например има NAT таблица, която съдържа NAT правила. Има таблица FILTER, която съдържа правила за филтриране на трафика.

Целият път на пакета изглежда така:
1. Пакет с данни влиза в ядрото (от друг компютър в мрежата, програма, работеща на нашия сайт и т.н.)
2. Има извикани действия предварително маршрутизиране. Използва се NAT таблица.
3. Филтриране в ход - поредица от правила, по които пакетът ще бъде изхвърлен или предаден. Използва се таблицата FILTER.
4. Има извикани действия след маршрутизиране. Използва се NAT таблица.
5. Пакетът се прехвърля до местоназначението.

Точки 2 и 4 ни интересува дали нашата машина е рутер и използваме NAT. Точка 3 е интересна за филтриране на трафика. Сега нека сложим всичко на рафтовете.

Основи на Iptables
Както казахме, iptables управлява набор от таблици. Всяка маса има набор от вериги. Всяка верига е подреден набор от правила за обработка на пакети. Във всяка Linux система има четири таблици:

  • ФИЛТЪР
  • NAT
  • УПРАВЛЯВАЙТЕ
  • RAW
Таблицата FILTER се използва за филтриране на трафика и се състои от три стандартни вериги:
  • INPUT - служи за филтриране входящи трафик на нашия кола. Например тази верига съдържа трафик от Интернет към нашия пощенски сървър. Именно тя е най-интересна за начинаещи.
  • OUTPUT - служи за филтриране изходящ трафик от нашите автомобили. Тази верига ще съдържа трафик от нашия пощенски сървър в Интернет. Има по-малък интерес, използвайте го, за да ограничите компютърните потребители да посещават определени ресурси и т.н.
  • НАПРЕД - служи за филтриране преминаване трафик през нашата кола. Интересно е дали нашата кола е такава рутер.
Всички тези вериги са изпълнени с правила. Когато пакет влезе във веригата, той преминава отгоре надолу, докато намери правило, на което отговаря. Правило - набор от условия и действие, което трябва да се извърши, ако пакетът отговаря на всички условия.
Например тези условия биха паснали на веригата INPUT на таблицата FILTER:
  • Отказване на достъп от компютър 192.168.0.1 до моя компютър, на портове 25, 80 и 110.
  • Напълно отказвам достъп от компютър 10.0.0.1 до моя компютър
  • Позволи достъп